Stappenplan: Inrichten & managen autorisatiebeheer

Sinds de invoering van de AVG zijn organisaties meer doordrongen van de noodzaak om informatiebeveiliging op orde te hebben. Het beperken van toegang tot informatie en informatieverwerkende faciliteiten (systemen, applicaties en locaties) is een randvoorwaarde om bepaalde type datalekken te voorkomen. Wat dient hiervoor ingericht te worden om een organisatie op weg te helpen? Het antwoord vind je in deze factsheet over autorisatiebeheer.

Meer informatie

Wat is autorisatiebeheer?

Een essentiële activiteit om een organisatie op weg te helpen, is het op poten zetten van een deugdelijk autorisatiebeheer. Autorisatiebeheer is het proces waarin een subject rechten krijgt op het benaderen van een object, dat wil zeggen:

  • een subject: een functionaris of functiegroep; en
  • een object: een bedrijfsmiddel (systeem, applicatie of locatie) bedoeld.

Een autorisatiebeheerproces laat zich beïnvloeden door gemaakte keuzes in een overkoepelend toegangsbeleid en zal raakvlakken hebben met tal van andere informatiebeveiliging gerelateerde beleidsonderwerpen en daaruit voortvloeiende processen en maatregelen. Ervan uitgaande dat er top-level-management-commitment is om tijd en energie te steken in het onderwerp autorisatiebeheer, hierbij een stappenplan met bijbehorende overwegingen.

ICTRECHT Illustratie handen schudden - Oker RGB

1. Inventariseer de situatie

Breng de huidige ‘gewenste’ situatie in kaart op het gebied van het IT-landschap van de organisatie en de in gebruik genomen fysieke locaties:

Object
Owner
Verstrekt door
Verstrekt aan
Toegangsniveau
Wanneer verstrekt
Type Beveiliging
Risicoprofiel
Betreffend: bedrijfsmiddel, denk aan: (interne/externe) systemen, applicaties, locaties
Beherende functionaris
Gedelegeerde functionaris, welke toegang verstrekt aan andere functionarissen
Functionaris welke toegang krijgt
Type rechten welke verkregen wordt:
- Gebruikers-,
- Beheerders-,
- Speciale rechten
Begin proeftijd / Na proeftijd
Denk aan:
- Extern benaderbaar vs. (V)LAN
- Useraccount / Groepsaccount
- Wel/geen MFA
O.b.v. een BIA:
- High
- Medium
- Low
 
... ... ... ... ...

 

...

... ...

 

Bovenstaande doet men natuurlijk niet alleen: op basis van interviews met middenmanagement en directie kan men bovenstaande tabel (of een variant hierop) invullen. Benader hiervoor bijvoorbeeld reeds bekende proces-/risico-/asset-owners.

Enkele begrippen uit bovenstaand schema uitgelegd:

  • Owner: De verantwoordelijke functionaris (veelal: manager/directie) voor betreffend systeem van betreffende autorisatiematrix.
  • Functionaris: Medewerkers welke een specifiek functieprofiel toegekend hebben gekregen. Het kan hier ook om een functiegroep gaan (verschillende functieprofielen van 1 of meerdere afdelingen). Sommige organisaties gaan soms nog een laag verder dan functionarissen, door ook rollen te benoemen die ingevuld worden door medewerkers.
  • Speciale rechten: Het kan zijn dat er behoefte is om een onderscheid te maken v.w.b. het toegangsniveau voor kritieke systemen/applicaties/locaties ingegeven door het risicoprofiel. Denk bijvoorbeeld aan een grote interne beheerdersafdeling waarvan slechts een aantal functionarissen beheer mogen doen op kritieke infrastructurele componenten.
  • Wanneer verstrekt: het kan zijn dat men ervoor gekozen heeft bepaalde toegangsrechten niet direct bij de start van het dienstverband uit te delen.
  • Risicoprofiel: Op basis van een eenvoudige checklist (BIA) komt men tot een risicoprofiel van betreffend systeem/applicatie/locatie. Denk hierbij bijvoorbeeld aan de impact van onbeschikbaarheid van betreffend systeem of locatie, danwel de gevolgen van een datalek m.b.t. betreffend systeem aan de hand van de hier in verwerkte data.

Uiteraard zijn er tal van IAM-tools die bij bovenstaande inventarisatie (en verder in het proces) kunnen helpen. Ook is het belangrijk te vermelden dat de vastlegging van de inventarisatie niet alleen belangrijke input kan zijn voor het verwerkingsregister persoonsgegevens, maar bij een deugdelijke implementatie (afwijkend op bovenstaande) via één en hetzelfde format vastgelegd en beheerd zou kunnen worden.

Lees meerLees minder

2. Toepassen gewenste situatie & creëren bewustwording

De initiële inventarisatie zal ongetwijfeld enkele discussies opleveren omtrent de huidige versus gewenste situatie. Stem met de ‘Owners’ (zie hierboven) af dat zij:

  • Ervoor zorgdragen dat de afgestemde gewenste situatie (voor vastgestelde datum) ingericht is.
  • De gewenste situatie periodiek dienen te verifiëren en evalueren.
  • Verantwoordelijkheid nemen de huidige situatie te handhaven en daarmee: afwijkingen op (incidentmelding) en mutaties binnen de naleving van de autorisatiematrix borgen en wanneer benodigd actualiseren.

Om dit te realiseren zullen ondersteunende activiteiten of hieraan gerelateerde processen ingericht/geüpdatet moeten worden:

  • Verstrekken van autorisaties aan personeel (bijv. naar aanleiding van nieuw aangenomen personeel, nieuwe functies).
  • Wijzigen van autorisaties bestaand personeel (bijv. naar aanleiding van functiewijzigingen, promotie of demotie).
  • Intrekken van autorisaties naar aanleiding van vertrekkend personeel.
  • Aankopen van locaties, systemen of applicaties bij desbetreffende aanbieders.

Let op: waar ‘personeel’ staat, kan ook ‘ingehuurde derden’, bedoeld worden.

Lees meerLees minder

3. Periodieke evaluatie autorisatiematrix

Op periodieke basis - ons advies is halfjaarlijks - dienen alle ‘Owners’ aangespoord te worden om hun autorisatiematrix te reviewen. Het valt aan te bevelen een instructie mee te leveren met het doel van de controle, de vereisten aan de controle en een stappenplan hoe de controle uit te voeren. 

Onze tips hierbij:

  • Laat de volledige autorisatiematrix en dus alle componenten controleren (m.b.t. de voorbeeldtabel: alle kolommen).
  • Het valt zeker te verantwoorden om een shift te maken in de te controleren autorisaties o.b.v. het geïdentificeerde risico-profiel.
  • Lever de ‘Owners’ een beknopte uitdraai van het huidig personeelsbestand aan, dit kan de kwaliteit van de controle aanzienlijk verbeteren.

Denk eraan schriftelijke bevestiging te krijgen van de ‘Owner’ dat de evaluatie is uitgevoerd, met bijbehorende output van deze evaluatie. Denk aan: wijzigingen aan de autorisatiematrix (gewijzigde toepassing m.b.t. autorisaties), doorgevoerde correcties, (vermoedelijke) oorzaken van benodigde correcties (processen/activiteiten welke niet goed verlopen) en openstaande aanbevelingen voor directie.

Als het de eerste keer wordt voor de ‘Owner’ om deze evaluatie uit te voeren: laat de directievertegenwoordigende ISMS-beheerder de ‘Owner’ ondersteunen bij uitvoering en rapportage van deze evaluatie.

Tip: De BIO heeft voor bovenstaande activiteit nog een uitgebreide set aan controles welke meegenomen zouden kunnen worden. 

Lees meerLees minder

4. Rapportage aan directie

In navolging van de uitgevoerde controle, bespreek met de directie zowel de output als de kwaliteit van de uitgevoerde controle.

  • Output van de controle
    • Welke processen leveren in de praktijk problemen op v.w.b. het autorisatiebeheer van de organisatie? Denk aan: instroom, doorstroom, uitstroom personeel of aanschaf nieuwe applicaties.
    • Welke openstaande aanbevelingen zijn door de ‘Owners’ aangegeven om een beslissing over te nemen?
  • Kwaliteit van de controle: een onafhankelijke beoordeling van de directievertegenwoordigende ISMS-beheerder over de kwaliteit van uitvoering van de controle is een waardevol sluitstuk op deze activiteit. Denk aan:
    • Houden ‘Owners’ zich aan de gewenste volledigheid en tijdigheid van de controle?
    • Wat leverde deze controle per ‘Owner’ aan output op?

Bovenstaande zou separaat, danwel optioneel in een directiebeoordeling besproken kunnen worden. Hoe dan ook, deze meeting levert besluiten tot bijsturing op.

Lees meerLees minder

5. Opvolging afwijkingen/verbetermogelijkheden

De door de directie besloten opvolgacties dienen vervolgens uitgezet te worden binnen de organisatie.

Gewaarborgd dient te worden dat deze tijdig opgevolgd worden. Dit uiteraard vanuit het informatiebeveiligingsperspectief, maar ook zodat de effectiviteit van de controle intern zichtbaar wordt en daarmee het draagvlak zal worden verhoogd.

Lees meerLees minder

Grip op autorisatiebeheer

Door stap 3 tot en met 5 te herhalen wordt de organisatie in staat gesteld beter grip te houden op haar autorisatiebeheer, waarmee wordt ingespeeld op de doelstelling in control te komen (of te blijven) omtrent de toegang tot informatie en informatieverwerkende faciliteiten.

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze Information security consultants neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Laat je gegevens achter